Contenu de Détection : Cheval de Troie Bancaire Grandoreiro

Les chevaux de Troie bancaires d’Amérique latine sont sur le point de créer une tendance distincte dans l’écriture de logiciels malveillants. Les adversaires créent régulièrement de nouveaux chevaux de Troie or kits d’exploitation pour attaquer les utilisateurs bancaires au Brésil, au Mexique et au Pérou, et avec chaque nouvelle campagne malveillante, ils élargissent d’abord leurs listes de cibles vers les pays voisins, puis vers des campagnes mondiales. Dans notre Digest de Règles récemment publié, nous avons observé une règle pour détecter un de ces chevaux de Troie sans nom. Et aujourd’hui, une campagne de propagation de la souche de malware Grandoreiro a attiré notre attention.

Grandoreiro est un cheval de Troie bancaire écrit en Delphi qui est actif depuis au moins 2017, ciblant le Brésil et le Pérou, s’étendant au Mexique et à l’Espagne en 2019, et maintenant s’étendant au Portugal. À la fin du mois dernier, les chercheurs ont découvert une campagne de spam visant à délivrer un cheval de Troie bancaire Grandoreiro mis à jour aux utilisateurs dans les pays mentionnés ci-dessus. Le malware mis à jour inclut des améliorations dans la manière dont il opère. La menace a été diffusée via des campagnes de malspam, comme par le passé, et le nom de la victime est utilisé comme partie du nom de la pièce jointe malveillante. Grandoreiro possède des fonctionnalités de porte dérobée et peut manipuler des fenêtres, capturer des frappes, simuler des actions de souris et de clavier, et naviguer vers une URL choisie par le navigateur de la victime.

New La règle communautaire de Den Iuzvikpeut découvrir le cheval de Troie bancaire Grandoreiro lorsqu’il tente de désactiver le logiciel de protection d’accès bancaire: https://tdm.socprime.com/tdm/info/vxfayUAZIqKy/7na3t3IBPeJ4_8xcS8As/?p=1

La règle a des traductions pour les plateformes suivantes:

SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques: Evasion de la Défense

Techniques: Modification des Permissions de Fichiers et Répertoires (T1222)